Обратно

Цифровая безопасность

Защита информации это одна из ключевых потребностей компании. Как бизнесу обеспечить безопасность критических данных и процессов?
Александр ГрищенковCTO, Molinos
Дата20 сентября 2022
Оправить заявку на аудит цифровой безопасности

Политическая ситуация, блокировка и уход многих сервисов, которые, как казалось, будут доступны вечно, сильно встревожили, уже доставили хлопот и заставляют задуматься о рисках и технологическом суверенитете уже собственного бизнеса. Не претендуя на глубокий экспертный анализ, поскольку более-менее крупные компании уже могут позволить себе команду специалистов, предлагаю быстро пройти «по верхам» уязвимости типичных цифровых активов микро- и малого бизнеса.

Сайт

Веб-сайт, даже если он создан на конструкторе (например популярной «Тильде»), состоит из нескольких компонентов инфраструктуры, которые нужно проверить отдельно.

Домен — это собственно имя вашего сайта, по которому его можно найти в Интернет вида example.com. Если случилось так, что его имя зарегистрировано за пределами РФ, достаточно оперативно нужно начать процесс переноса к российским регистраторам доменных имён (nic.ru, reg.ru etc.). Процесс это небыстрый, а проблемы с оплатой или блокировкой аккаунта иностранным регистратором могут быть неожиданными. Обычно, домен оплачивают на год и даже более и забывают. Эта ситуация даже в мирное время чревата проблемами, через пять лет найти кто-куда платил и где доступы становится нетривиальной задачей.

Хостинг. Как ни удивительно, хостинг (то есть сервер на котором расположен сайт) не имеет никакого отношения к домену, да конечно многие регистраторы продают заодно и хостинг, а многие хостеры торгуют по партнёрке и доменами, но это отдельный сервис и нужно убедиться, что он также расположен в РФ, если только вы не намеренно разместили его за пределами РФ (например поближе к вашим клиентам), в этом случае, советуем убедиться, что у вас корректно настроено резервное копирование данных (бекапы), о котором чуть позже.

Сайт на конструкторе. Часто сайт, а ещё чаще лендинг или посадочная страница сделаны на конструкторе, который удобно совмещает в себе и систему управления контентом, и хостинг, и управление доменом. Если сайт сделан на популярной в России «Тильде», то пока беспокоиться не будем, в оферте указан ИП Никита Обухов, сервера находятся в РФ, юрисдикцией сервиса тоже является РФ, надеемся, что так оно и останется. Но если ваш сайт или лендинг использует зарубежный конструктор (Wix, Squarespace, Shopify), то вы рискуете, причём не только в случае блокировки со стороны самих платформ, но и например в случае блокировки инфраструктуры, которую они используют, например многие сервисы используют серверные решения от AWS от Amazon или CloudFlare для обеспечения безопасности. В случае проблем с этими сервисами, существует угроза и для вашего сайта. Поэтому, мой вам совет: подумайте о переносе сайта в домашний регион, что, с помощью специалиста, вполне выполнимая вещь.

Почта — Очень важный сервис, который нужно проверить. Это ещё одна сущность, которая хоть и связана с доменом, но является самостоятельным сервисом. Если вы, как многие (в том числе и мы в Molinos) настроили Яндекс Почту для своего домена, то пока волноваться не о чем (хотя новые домены в Яндексе уже только за деньги), так же всё в порядке, если у вас есть собственный почтовый сервер в юрисдикции РФ. Но если для вашего домена настроен почтовик от Google или от другого иностранного сервиса, то есть риск и нужно принимать меры.

Файлы в облаках Dropbox, Google Disk, OneDrive (Microsoft) — это всё кандидаты на замену. Неплохих альтернатив у нас много, основные это конечно Яндекс.Диск и Облако (Mail.ru). Если только вы не настроили хитрых интеграций и автоматизаций, то немного привыкнув разницы вы не заметите.

Конечно самое трудное — это отказаться от Google Docs, альтернатива Яндекс.Документы, к сожалению, нам совсем не приглянулась. Поэтому я советую продолжать пользоваться документами, но обязательно периодически делать бекапы, как на личном уровне, так и на уровне организации.

Александр Грищенков CTO, Molinos

Сделайте это прямо сейчас:

Скачайте себе на локальный диск данные своего Гугл-аккаунта. Инструкция от Google тут: https://support.google.com/accounts/answer/3024190?hl=ru

Вы сможете выбрать, какие именно данные скачивать. Я выбрал себе содержание Google Drive и почты Gmail, у меня в личном аккаунте в совокупности получилось 6 ГБ архивов, пусть лежат. Документы и таблицы скачиваются в формате документов Майкрософт, так что с редактированием проблем не будет.

Бекапы (резервные копии)

Обязательным процессом в компании должна быть проверка рутин резервного копирования, отсутствие копий может сильно ударить не только в случае блокировок, но и в случае аварий и сбоев. Поэтому, в отношении всего выше перечисленного, что можете сделайте сами (как в случае с Google документами), а для чего не сможете, обратитесь к специалистам, даже сайт на конструкторе можно скопировать себе на диск или хранилище в формате html, на случай отказа сервиса (что тоже вполне себе возможно, никто не гарантирует 100% надёжности).

Пароли

Стратегия хранения паролей — одна из самых чувствительных тем инфобезопасности бизнеса, к сожалению часто это самое слабое место через которое происходят утечки. Связанно это с тем, что тут наиболее тесно пересекается личная и корпоративная цифровая гигиена, а освоение базовых навыков работы с инструментами требует некоторых усилий пользователя. Решения по хранению паролей (исключая метод записи на стикере на рабочем столе), можно разделить на три вида:

  • Встроенные в операционные системы и браузеры менеджеры паролей (например Apple Keychain или Google Password Manager)
  • Специализированные сервисы для хранения паролей с облачной архитектурой (1password, Bitwarden)
  • Решения позволяющие развернуть приложение на собственном сервере для совместной работы и работать через плагины в браузере (например Passbolt).

С точки зрения безопасности, для бизнеса предпочтителен последний вариант, он же является самым сложным — потребуется квалифицированный человек для установки и поддержки серверного решения и помощи по внедрению его у пользователей. Все остальные варианты, к сожалению, в текущей ситуации выглядят ненадёжными — какой бы фантастической не казалось мысль об отключении Apple аккаунтов, вероятность сейчас отлична от нуля, что в свете возможного ущерба уже много. Компромиссным решением для себя лично, я выбрал Bitwarden, который в отличие от 1password, продолжает работать для пользователей из России и является Open Source проектом, что даёт надежду, что даже в худшем случае у разработчиков будет возможность сделать т.н. форк и продолжить работу.

Оцените, кстати, степень «надёжности» облачных решений, на примере 1password — сервис просто отказался работать с пользователями из РФ, делайте выводы.

Корпоративно мы используем Passbolt на собственном сервере, что решает проблему блокировок.

VPN

Последний в нашем списке пункт VPN позволит пока получить доступ к ресурсам заблокированным как изнутри, так и извне. Да, да, многие сервисы любезно сообщают, что для пользователей из России они больше не доступны. Если всё же есть острая потребность ими пользоваться, то VPN должен в этом помочь.

Нужно понимать, что VPN это по сути ваша персональная тропинка напрямую к серверу где-то вне РФ, через который вы получаете доступ к сети Интернет. Т.е. если вы хотите выглядеть как немецкий пользователь сервер физически должен находиться в Германии. Многие популярные сервисы VPN (напр. NordVPN) предоставляют возможность выбрать страну, через которую пойдёт трафик, но бывают случаи, когда этого не достаточно, например мы столкнулись с необходимостью иметь статический IP адрес для некоторых задач, чего тот же NordVPN предоставить не может. В этом случае хорошим и дешёвым решением будет аренда виртуальной машины в каком-то облаке (например Digital Ocean) и разворачивании там VPN сервиса, стоимость аренды минимальной конфигурации на Digital Ocean — $5, плюс какие-то усилия администратора по разворачиванию сервера.

Обратиться к экспертам Molinos
Александр ГрищенковCTO, Molinos

Безусловно, цифровая безопасность бизнеса - первоочередной вопрос, но вы не должны разбираться в нем сами. При необходимости, по всем перечисленным вопросам, мы в Molinos сможем вам помочь в рамках услуги Техническая Поддержка бизнеса.

Ваше имя
Ваш телефон
Ваш e-mail
Отправляя свои данные, вы соглашаетесь на обработку персональных данных в соответствии с Политикой конфиденциальности.
Интересное из мира Digital

Свежие статьи из мира Digital

5 минут на прочтение
SMM в медицинской тематике
Медицина — одна из самых сложных сфер для маркетинга и рекламы. Как привлекать больше клиентов и не пересекать “черту” — рассказывают эксперты Molinos.
SMM-стратег
6 минут на прочтение
Как выбрать подрядчика на performance-маркетинг
Рассказывает Head of Performance Molinos Элина Павлова
Head of performance Molinos
4 минуты на прочтение
Как мы разработали свою админку для ботов
Как сделать чат-бота без навыков программирования? На этот вопрос ответили разработчики Molinos – разработали собственную админ-панель
13 минут на прочтение
Точки роста, dream team, работа мечты: как проходит стажировка в Molinos
Бывшие стажеры, а теперь сотрудники Molinos рассказывают о том, как они попали к нам, чему научились на стажировке и почему решили остаться.
4 минуты на прочтение
Новые brandformance-показатели в Мастере отчетов Яндекс
Продолжаем тему эффективности медийной рекламы и рассказываем, как быстро ее измерить с точки зрения бизнес-показателей
Медиа-директор
6 минут на прочтение
Актуальные инструменты контекстной рекламы
Head of Performance
10 минут на прочтение
Последние тренды SMM
Самые свежие и актуальные SMM-тренды, которые повлияют или уже влияют на нашу работу в осенне-зимний период, а также, вполне вероятно, сохранят свою значимость в 2023 году.
SMM-стратег
5 минут на прочтение
Продвижение B2B в Яндекс
Как привлекать заявки для сложных ниш? Руководитель отдела performance дает 9 полезных советов, которые вы можете применить в своем проекте
Head of Performance Molinos
10 минут на прочтение
Создание карты пользовательских историй при разработке
Рассказываем про общую картину проекта, одну из самых ценных задач UIX.
Менеджер проектов студии
12 минут на прочтение
Продвижение строительного бизнеса
Чек-лист по продвижению бизнеса из строительной тематики в Яндекс для специалистов по маркетингу и не только
Специалист отдела Performance